 |
(샌프란시스코=연합뉴스) 임화섭 특파원 = 미국 정부가 은행 거래 등 온라인 서비스에서 널리 쓰이는 문자메시지(SMS) 방식 본인인증에 보안상 문제점이 있다고 판단하고 이를 권고 기술 목록에서 퇴출하기로 했다.
이에 따라 대부분의 금융기관이 SMS 인증을 사용 중인 한국 등 다른 나라에서도 이런 방향의 변화가 일어날지 주목된다.
26일(현지시간) 미국 국립표준기술원(NIST)에 따르면 이 기관은 3년 만에 개정되는 '디지털 인증 가이드라인'(Digital Authentication Guideline)의 차기 버전에 이런 내용을 반영하기로 했다.
온라인으로 공개된 개정안에서 NIST는 "SMS를 이용한 대역외인증(Out-of-band Authentication·OOBA)에 대해 강한 반대를 표명한다"는 입장을 밝혔다.
OOBA는 아이디와 암호를 요구하는 통상의 사용자 인증절차뿐만 아니라 또 다른 네트워크를 통해 추가 인증을 요구하는 것을 뜻한다. 이런 2단계 인증절차에는 스마트폰 등 기기가 흔히 이용된다.
NIST는 SMS를 통한 2단계 인증을 권고 기술에서 퇴출키로 한 이유를 상세히 설명하지는 않았다.
다만 SMS의 기술적 프로토콜 자체에 보안이 취약한 면이 있어 해커에 의한 가로채기가 가능하고, 또 대부분의 전화기가 잠금화면에서 SMS의 내용을 미리 보여 주므로 이를 본인 확인 수단으로 쓰는 것은 보안상 문제가 있다는 지적은 그간 여러 차례 나왔다.
NIST는 또 인터넷전화(VoIP) 음성이나 메시지 등으로 본인 확인을 하는 것도 해킹이 가능하므로 바람직하지 않다고 지적했다.
SMS 본인인증 대신에 스마트폰에서 쓸 수 있으며 보다 보안성이 뛰어난 방법에는 구글 OTP(Google Authenticator), 오시(Authy), 듀오(Duo) 등 1회용 암호발생기(OTP) 소프트웨어 혹은 하드웨어, 그리고 보안 동글 등이 있다.
또 NIST는 보안이 확보된 앱이나 지문 등 생체정보 인식을 통한 2단계 본인인증 기술도 인정키로 했다.
NIST의 가이드라인은 법적 강제 사항은 아니지만 보안·인증 문제와 관련해 전세계 정보기술(IT)업계에 큰 영향을 미친다.
solatido@yna.co.kr
<저작권자(c)연합뉴스. 무단전재-재배포금지.>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
